{ "schema": "https://saferpage.de/schemas/operator-fix-guide-package.v1", "generated_at": "2026-06-13T17:04:14+00:00", "domain": "digitales-deutsches-frauenarchiv.de", "available": true, "scan": { "id": "7cd051ea-b486-48cf-8735-e586595941e5", "checked_at": "2026-06-10 00:47:21.70778+02" }, "summary": "digitales-deutsches-frauenarchiv.de: 8 priorisierte Betreiber-Guide(s) aus 26 Befund(en).", "metrics": { "issue_count": 26, "guide_count": 8, "high_priority_count": 9, "medium_priority_count": 7, "tracker_task_count": 2, "remediation_ticket_count": 28, "remediation_ticket_fingerprint_count": 28, "remediation_ticket_duplicate_count": 0, "high_ticket_count": 9, "acceptance_count": 24, "source_count": 17, "platform_playbook_count": 1, "platform_playbook_step_count": 4, "platform_playbook_acceptance_count": 3, "platform_playbook_boundary_count": 1, "platform_playbook_evidence_url_count": 1, "quality_review_row_count": 6, "quality_review_acceptance_count": 6, "quality_review_boundary_count": 6, "quality_review_evidence_url_count": 6, "quality_review_guide_url_count": 6, "quality_review_form_count": 1, "quality_review_form_page_count": 1, "evidence_first_measured_count": 4, "evidence_first_operator_context_count": 4, "evidence_first_do_not_claim_count": 4 }, "guide_streams": [ { "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "title": "Tracking und Consent reparieren", "intro": "Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Consent & Tracking", "owner": "Marketing/IT/Datenschutz", "effort": "mittel", "issue_count": 7, "issues": [ { "id": "browser_consent_accept_only", "area": "privacy", "title": "Consent-Banner wirkt im Browser wie Akzeptieren-only", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Ablehnen und Einstellungen im ersten Banner-Layer sichtbar und gleichwertig anbieten.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "consent_no_reject_option", "area": "privacy", "title": "Cookie-Hinweis ohne klare Ablehnen-Option", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "consent_banner_dark_pattern_risk", "area": "privacy", "title": "Consent-Banner mit Dark-Pattern-/UX-Risiko", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "module_privacy_consent", "area": "Audit-Modul", "title": "Datenschutz, Cookies & Consent", "priority": "hoch", "impact_score": 62, "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 38.", "operator_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "audit_module" }, { "id": "consent_preconsent_gap", "area": "Consent & Tracking", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "hoch", "impact_score": 62, "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing/IT", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "consent_audit" }, { "id": "consent_ux_gap", "area": "Consent UX", "title": "Ablehnen, Widerruf und Banner-Usability verbessern", "priority": "mittel", "impact_score": 26, "evidence": "Consent-Banner-UX: 2 auffällige Prüfpunkt(e), davon 1 hoch. Muster: Ablehnen nicht gleichwertig sichtbar.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "UX/Marketing/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "consent_banner_ux" }, { "id": "browser_consent_settings_missing", "area": "privacy", "title": "Keine sichtbaren Cookie-Einstellungen im Banner", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Eine klare Auswahl- oder Einstellungsebene für Zwecke und Anbieter anbieten.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" } ], "guide_steps": [ "Blockieren Sie Analytics-, Ads-, Pixel- und Remarketing-Skripte bis zur aktiven Zustimmung.", "Nutzen Sie CMP-Autoblocking oder neutrale Script-/Iframe-Attribute wie type=\"text/plain\" beziehungsweise data-cookieblock-src, damit Quellen nicht vor Consent laden.", "Bieten Sie Ablehnen und Akzeptieren gleich sichtbar an; vermeiden Sie reine Akzeptieren-Banner.", "Dokumentieren Sie Anbieter, Zwecke, Rechtsgrundlagen und Widerruf in der Datenschutzerklärung.", "Testen Sie die Startseite im Inkognito-Fenster ohne Zustimmung und prüfen Sie, ob Trackingkontakte ausbleiben." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "evidence": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "title": "Google-Dienste datenschutzfreundlich einbinden", "intro": "Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Google-Dienste", "owner": "Marketing/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "google_consent_mode_missing", "area": "privacy", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "finding" }, { "id": "module_google_third_parties", "area": "Audit-Modul", "title": "Google-Dienste & Drittanbieter", "priority": "mittel", "impact_score": 42, "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "operator_action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "audit_module" }, { "id": "google_consent_gap", "area": "Google Consent Mode und Tags reparieren", "title": "Google-Dienste", "priority": "mittel", "impact_score": 42, "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing Ops/Webentwicklung", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "google_consent" } ], "guide_steps": [ "Blockieren Sie Google Analytics, Google Tag Manager, Ads und vergleichbare Tags bis zur aktiven Einwilligung.", "Setzen Sie Consent Mode defaults vor dem ersten Google-Tag auf denied und feuern Sie config/event erst nach dem passenden Consent.", "Hosten Sie Google Fonts lokal oder entfernen Sie Remote-Font-Requests zu fonts.googleapis.com und fonts.gstatic.com.", "Laden Sie Maps, YouTube und reCAPTCHA erst nach Klick, Einwilligung oder auf klar begründeten Formularseiten.", "Nennen Sie Google-Dienste konkret in Datenschutzerklärung und Consent-Oberfläche, inklusive Zweck, Anbieter und Widerruf." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Google-Requests vor und nach Consent vergleichen.", "evidence": "Consent-Mode-Defaults, Tag-Manager-Regeln, Anbieterzwecke." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Google-Requests vor und nach Consent vergleichen.", "sources": [ { "label": "DSK/BfDI: Hinweise zu Google Analytics", "url": "https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/99DSK_Google-Analytics.pdf?__blob=publicationFile&v=3" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" }, { "label": "Google Consent Mode concepts", "url": "https://developers.google.com/tag-platform/security/concepts/consent-mode" }, { "label": "Google Fonts Privacy FAQ", "url": "https://developers.google.com/fonts/faq/privacy" } ] }, { "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "title": "SEO-Spam und Cloaking bereinigen", "intro": "Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Trust & Content Integrity", "owner": "Webbetrieb/SEO/Security", "effort": "hoch", "issue_count": 1, "issues": [ { "id": "external_canonical", "area": "seo", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" } ], "guide_steps": [ "Entfernen Sie versteckte Linklisten, Keyword-Stuffing und automatisch erzeugte Doorway-Seiten.", "Vergleichen Sie normalen Abruf und Googlebot-Abruf auf Weiterleitungen und sichtbare Inhalte.", "Prüfen Sie CMS, Themes und Plugins auf Schadcode, wenn solche Muster unerwartet auftauchen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webbetrieb/SEO/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webbetrieb/SEO/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "evidence": "Bereinigter Code, Malware-/Plugin-Prüfung, Search-Console-Status." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "sources": [ { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "title": "Security-Header setzen", "intro": "Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Web Security", "owner": "IT/Security", "effort": "mittel", "issue_count": 8, "issues": [ { "id": "missing_csp", "area": "security_headers", "title": "Content-Security-Policy fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "module_security_tls", "area": "Audit-Modul", "title": "Sicherheit, TLS & Header", "priority": "mittel", "impact_score": 30, "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 0.", "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "audit_module" }, { "id": "security_header_gap", "area": "Security", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "impact_score": 30, "evidence": "3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "IT/Security", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "security_header" }, { "id": "missing_cross_origin_embedder_policy", "area": "security_headers", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_opener_policy", "area": "security_headers", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_resource_policy", "area": "security_headers", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_referrer_policy", "area": "security_headers", "title": "Referrer-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_permissions_policy", "area": "security_headers", "title": "Permissions-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" } ], "guide_steps": [ "Setzen Sie HSTS nach erfolgreichem HTTPS-Test.", "Nutzen Sie Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Referrer-Policy.", "Starten Sie mit einer vorsichtigen CSP im Report-Only-Modus und verschärfen Sie sie schrittweise.", "Entfernen Sie unsafe-inline, unsafe-eval, Wildcards und reine http:-Quellen aus script-src, sobald Nonces, Hashes oder konkrete Hosts funktionieren.", "Setzen Sie base-uri und object-src restriktiv, typischerweise base-uri self und object-src none.", "Nutzen Sie frame-ancestors oder X-Frame-Options, damit fremde Seiten die Website nicht ungewollt einbetten." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "evidence": "Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Content Security Policy", "url": "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" } ] }, { "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "title": "Drittanbieter im Datenschutz erklären", "intro": "Externe Browserkontakte müssen für Ihre Besucher nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.", "priority": "hoch", "impact_score": 84, "phase": "0-7 Tage", "area": "Drittanbieter", "owner": "Legal/Vendor Owner", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "vendor_contract_transfer_fix", "area": "Anbieter & Transfer", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "impact_score": 84, "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).", "operator_action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "owner": "Legal/Vendor Owner", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "vendor_due_diligence" } ], "guide_steps": [ "Erstellen Sie eine Liste aller externen Domains, die beim ersten Seitenaufruf geladen werden.", "Ordnen Sie jeden Anbieter einem Zweck zu: Hosting/CDN, Fonts, Consent, Analytics, Werbung, Zahlung oder Support.", "Dokumentieren Sie pro Anbieter Empfängerrolle, Anbieterland, Transfergrundlage, AVV/Vertrag und Widerrufs- oder Opt-out-Möglichkeit.", "Reduzieren Sie unnötige Drittanbieter und erklären Sie die übrigen verständlich in Cookie-Auswahl und Datenschutzhinweisen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Vendor Owner", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Vendor Owner", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "evidence": "Anbieterregister, AVV/DPA-Status, Transferbewertung, Datenschutzhinweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "title": "Barrierefreiheit bei Bannern und Formularen prüfen", "intro": "Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.", "priority": "mittel", "impact_score": 55, "phase": "7-30 Tage", "area": "Usability & BITV", "owner": "UX/Content/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "module_accessibility_usability", "area": "Audit-Modul", "title": "Barrierefreiheit & Usability", "priority": "mittel", "impact_score": 32, "evidence": "8 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.", "operator_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "audit_module" }, { "id": "accessibility_gap", "area": "Barrierefreiheit", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "mittel", "impact_score": 32, "evidence": "37 Bild(er), 0 Formularfeld(er), 56 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "UX/IT", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "accessibility" }, { "id": "image_alt_missing", "area": "accessibility", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "finding" } ], "guide_steps": [ "Stellen Sie sicher, dass Cookie-Banner per Tastatur, Screenreader und Mobilgerät bedienbar sind.", "Blockieren Sie Datenschutz, Impressum und Inhalt nicht dauerhaft durch ein Banner.", "Versehen Sie Formularfelder mit Labels, verständlichen Fehlermeldungen und passenden Autocomplete-Attributen.", "Prüfen Sie Kontrast, Fokuszustände, Tab-Reihenfolge und Feedbackmechanismus für Barrierefreiheitsmeldungen.", "Testen Sie kritische Formulare manuell und automatisiert, besonders Kontakt, Antrag, Login und Newsletter." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "UX/Content/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "UX/Content/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "evidence": "Testprotokoll, Screenshots, bekannte Einschränkungen." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "sources": [ { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" }, { "label": "BFIT Bund", "url": "https://www.bfit-bund.de/DE/Home/home_node.html" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "title": "Datenschutzerklärung verbessern", "intro": "Eine gute Datenschutzerklärung erklärt Ihren Besuchern verständlich, welche Daten verarbeitet werden und warum.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Transparenz", "owner": "Datenschutz/Content", "effort": "mittel", "issue_count": 2, "issues": [ { "id": "privacy_policy_update_date_missing", "area": "privacy", "title": "Stand der Datenschutzerklärung nicht klar erkennbar", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Ergänzen Sie ein gut sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach technischen Änderungen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "source": "finding" }, { "id": "privacy_policy_dpo_contact_missing", "area": "privacy", "title": "Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Nennen Sie einen Datenschutzkontakt oder erklären Sie nachvollziehbar, wie Datenschutzanfragen gestellt werden können.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "source": "finding" } ], "guide_steps": [ "Verlinken Sie die Datenschutzerklärung gut sichtbar im Footer und in Formularnähe.", "Nennen Sie Zwecke, Rechtsgrundlagen, Empfänger/Drittanbieter, Speicherdauer und Betroffenenrechte.", "Erklären Sie Cookies, Tracking, Kontaktformulare, Newsletter und Zahlungsanbieter konkret statt nur allgemein.", "Pflegen Sie ein sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach neuen Tools, Cookies oder Formularen erneut.", "Nennen Sie einen Datenschutzkontakt oder den Datenschutzbeauftragten-Hinweis so, dass Besucher Anfragen ohne Suchen stellen können.", "Strukturieren Sie lange Absätze mit klaren Zwischenüberschriften und kurzen Sätzen, damit auch nicht-juristische Nutzer die Hinweise verstehen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Datenschutz/Content", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Datenschutz/Content", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "evidence": "Versionierter Datenschutzhinweis, Änderungsdatum, Freigabeprotokoll." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] }, { "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "title": "Externe Skripte und SRI absichern", "intro": "Externe JavaScript-Dateien sind eine Lieferkette im Browser. Für Ihre Website zählen Datenschutz, Integrität und klare Kontrolle über Tracking- und Tag-Skripte.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Browser Supply Chain", "owner": "IT/Webentwicklung", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "missing_meta_description", "area": "content", "title": "Meta-Description fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "source": "finding" } ], "guide_steps": [ "Führen Sie ein Skriptinventar mit Host, Anbieter, Zweck, Kategorie, Rechtsgrundlage, Consent-Zustand und Verantwortlichem.", "Hosten Sie stabile Bibliotheken lokal, wenn kein zwingender CDN-Grund besteht.", "Setzen Sie für statische CDN-Skripte Subresource Integrity mit passendem crossorigin-Attribut und aktualisieren Sie Hashes bei Versionswechseln.", "Beschränken Sie erlaubte Skriptquellen über eine Content-Security-Policy und testen Sie Änderungen zuerst im Report-Only-Modus.", "Laden Sie Tracking-, Tag-Manager-, Ads-, Analytics- und Session-Replay-Skripte erst nach passender Einwilligung.", "Prüfen Sie nach jedem Plugin-, Theme-, Consent-Tool- oder Tag-Manager-Update erneut, ob neue externe Skriptquellen hinzugekommen sind." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webentwicklung", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webentwicklung", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "evidence": "Skriptinventar, SRI-Hashes, CSP-Report-Only-Test." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Subresource Integrity", "url": "https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] } ], "remediation_tickets": [ { "id": "remediation_vendor_contract_transfer_fix", "type": "befund_fix", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "owner": "Legal/Vendor Owner", "area": "Anbieter & Transfer", "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).", "action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "vendor_due_diligence", "sla": "7 Tage", "fingerprint": "aab3971ddedd212f3af193513e9758d348555fe54ebefc10e9599425e4fe9098", "duplicate_group_count": 1, "deduplicated_duplicate_count": 0 }, { "id": "remediation_external_canonical", "type": "befund_fix", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "7 Tage", "fingerprint": "a875b89238f4850630895bee7429cad86786114b53790a6ec212f77917b7162f", "duplicate_group_count": 1 }, { "id": "remediation_consent_banner_dark_pattern_risk", "type": "befund_fix", "title": "Consent-Banner mit Dark-Pattern-/UX-Risiko", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "7 Tage", "fingerprint": "1ebf797e08cceb5eb2fb4105fa14c0e8a2dac03e3e633af8a5e5694fe6bea5f1", "duplicate_group_count": 1 }, { "id": "remediation_browser_consent_accept_only", "type": "befund_fix", "title": "Consent-Banner wirkt im Browser wie Akzeptieren-only", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ablehnen und Einstellungen im ersten Banner-Layer sichtbar und gleichwertig anbieten.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "7 Tage", "fingerprint": "d5b14acd188031b217a84151a5b9d221825e7a9b0bdfcafb9ce5cc441206fd25", "duplicate_group_count": 1 }, { "id": "remediation_missing_csp", "type": "befund_fix", "title": "Content-Security-Policy fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "7 Tage", "fingerprint": "26b9534373385506779b7bf81348f3c4f7ed18b999de66aa039091b4f75dc857", "duplicate_group_count": 1 }, { "id": "remediation_consent_no_reject_option", "type": "befund_fix", "title": "Cookie-Hinweis ohne klare Ablehnen-Option", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "7 Tage", "fingerprint": "27a86cb5cf3525feb6702f8840ff80617206433e9f9954b5cd0a2ce5a616dea4", "duplicate_group_count": 1 }, { "id": "remediation_module_privacy_consent", "type": "befund_fix", "title": "Datenschutz, Cookies & Consent", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 38.", "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "audit_module", "sla": "7 Tage", "fingerprint": "cb12c531edc6386fe68c51af8dec53bdec31d424fcf2f4a031f4a34eb777ad9c", "duplicate_group_count": 1 }, { "id": "remediation_google_consent_mode_missing", "type": "befund_fix", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "7 Tage", "fingerprint": "ef4d652840c15eaede4fde88f5a31361c353816942714aa2c1f1373ec1804c25", "duplicate_group_count": 1 }, { "id": "remediation_consent_preconsent_gap", "type": "befund_fix", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "hoch", "owner": "Marketing/IT", "area": "Consent & Tracking", "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "consent_audit", "sla": "7 Tage", "fingerprint": "a4552e0c30fc795a4c90c45c2ce54577d0908787e4fa676c3e21edf7241885e2", "duplicate_group_count": 1 }, { "id": "remediation_consent_ux_gap", "type": "befund_fix", "title": "Ablehnen, Widerruf und Banner-Usability verbessern", "priority": "mittel", "owner": "UX/Marketing/Datenschutz", "area": "Consent UX", "evidence": "Consent-Banner-UX: 2 auffällige Prüfpunkt(e), davon 1 hoch. Muster: Ablehnen nicht gleichwertig sichtbar.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "consent_banner_ux", "sla": "30 Tage", "fingerprint": "78fce61575bdba7494ebe024fe3f383f57bd19d65db576c4e61b8319a8f72c41", "duplicate_group_count": 1 }, { "id": "remediation_module_accessibility_usability", "type": "befund_fix", "title": "Barrierefreiheit & Usability", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "8 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.", "action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "1026c2b67a84af392d50b900a2ea641b698d2cae99409c869a4b3856edcb4eda", "duplicate_group_count": 1 }, { "id": "remediation_accessibility_gap", "type": "befund_fix", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "mittel", "owner": "UX/IT", "area": "Barrierefreiheit", "evidence": "37 Bild(er), 0 Formularfeld(er), 56 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "accessibility", "sla": "30 Tage", "fingerprint": "be1ea9ccf1f6f303d9c34b30b7a56692a5740e6515c01a479d182048feade376", "duplicate_group_count": 1 }, { "id": "remediation_google_consent_gap", "type": "befund_fix", "title": "Google-Dienste", "priority": "mittel", "owner": "Marketing Ops/Webentwicklung", "area": "Google Consent Mode und Tags reparieren", "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "google_consent", "sla": "30 Tage", "fingerprint": "7b3b50b7fb5dfd1bdff51539d4688cc46061b65b8153e8d9e6fc39803dae5acd", "duplicate_group_count": 1 }, { "id": "remediation_module_google_third_parties", "type": "befund_fix", "title": "Google-Dienste & Drittanbieter", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "5a16536c9fbb66eaa2d52e4462d4e725d0578da1c09262e46b224ad81c1f1985", "duplicate_group_count": 1 }, { "id": "remediation_security_header_gap", "type": "befund_fix", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "owner": "IT/Security", "area": "Security", "evidence": "3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "security_header", "sla": "30 Tage", "fingerprint": "1d6064eac12cf70d9c1dadfe9cfccce5b98040853ec753b52cc8479d0517be88", "duplicate_group_count": 1 }, { "id": "remediation_module_security_tls", "type": "befund_fix", "title": "Sicherheit, TLS & Header", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 0.", "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "412d98743b01900776a80e0fba672556492f994841721e2d7cfb193ef2dd960c", "duplicate_group_count": 1 }, { "id": "mapping_vendor_stats.digitales-deutsches-frauenarchiv.de", "type": "service_mapping", "title": "stats.digitales-deutsches-frauenarchiv.de", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "Sonstige", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/anbieter/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "tracker_mapping", "sla": "30 Tage", "fingerprint": "9855c0e6a12b9527887c0cfe632e022199b522fe7ea86f724b34bcafc8a9ca0d", "duplicate_group_count": 1 }, { "id": "mapping_request_stats.digitales-deutsches-frauenarchiv.de", "type": "service_mapping", "title": "stats.digitales-deutsches-frauenarchiv.de", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "other", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "evidence_url": "https://saferpage.de/anbieter/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "tracker_mapping", "sla": "30 Tage", "fingerprint": "f17e342a1554bf7692666a43679ee66dea55b7ac1fec516afc26af5f9cb11f17", "duplicate_group_count": 1 }, { "id": "remediation_image_alt_missing", "type": "befund_fix", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "accessibility", "evidence": "", "action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "2097cbe784632eb31f2e46dfcf154ca529693584dd73e3ab0cb954940feece3d", "duplicate_group_count": 1 }, { "id": "remediation_missing_cross_origin_embedder_policy", "type": "befund_fix", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "c8d36072d81b63f9103982e29875cec130c514c20f982ffe6c35212cdfa0cee0", "duplicate_group_count": 1 }, { "id": "remediation_missing_cross_origin_opener_policy", "type": "befund_fix", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "65a210c101429beda44d9f7dd2dea20bd40109b87783a2562d331f8251ffa332", "duplicate_group_count": 1 }, { "id": "remediation_missing_cross_origin_resource_policy", "type": "befund_fix", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "d51f4623a35c3ae334a5dd59a43e462672f815eac1b654d30d0f2e2a74564176", "duplicate_group_count": 1 }, { "id": "remediation_privacy_policy_dpo_contact_missing", "type": "befund_fix", "title": "Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Nennen Sie einen Datenschutzkontakt oder erklären Sie nachvollziehbar, wie Datenschutzanfragen gestellt werden können.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "88bcd207d77a8ed519245d85b7625ca38d73110c195008fc051e51dbee92f3da", "duplicate_group_count": 1 }, { "id": "remediation_browser_consent_settings_missing", "type": "befund_fix", "title": "Keine sichtbaren Cookie-Einstellungen im Banner", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Eine klare Auswahl- oder Einstellungsebene für Zwecke und Anbieter anbieten.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "4399e888f7c8252c23c01c80193ea3b031695ae08b6c03549e5669b115713292", "duplicate_group_count": 1 }, { "id": "remediation_missing_meta_description", "type": "befund_fix", "title": "Meta-Description fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "content", "evidence": "", "action": "Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "c7facf9d3cfe427999414e743f6e8776e8a18b182ee07cbfb0d427ffff06433d", "duplicate_group_count": 1 }, { "id": "remediation_missing_permissions_policy", "type": "befund_fix", "title": "Permissions-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "801cc01c5ceeafba6584ae88b9416fcb3428613a45932329f1a56f23c62277b5", "duplicate_group_count": 1 }, { "id": "remediation_missing_referrer_policy", "type": "befund_fix", "title": "Referrer-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "7ea210c04d4624f285ff9df75bf59e7fee93391b5416651ff18fd63633410aa7", "duplicate_group_count": 1 }, { "id": "remediation_privacy_policy_update_date_missing", "type": "befund_fix", "title": "Stand der Datenschutzerklärung nicht klar erkennbar", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ergänzen Sie ein gut sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach technischen Änderungen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "evidence_url": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "rescan_url": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "03e0f34d535c54ae396d317fd64d8a9ff47d7ed3ebe3ef0704f40f5ac25ca790", "duplicate_group_count": 1 } ], "tracker_mapping_tasks": [ { "id": "vendor_stats.digitales-deutsches-frauenarchiv.de", "label": "stats.digitales-deutsches-frauenarchiv.de", "type": "vendor", "status": "prüfen", "evidence": "Sonstige", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "target_url": "https://saferpage.de/anbieter/digitales-deutsches-frauenarchiv.de" }, { "id": "request_stats.digitales-deutsches-frauenarchiv.de", "label": "stats.digitales-deutsches-frauenarchiv.de", "type": "browser_request", "status": "prüfen", "evidence": "other", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "guide_slug": "servicekarte-und-anbieterinventar-aufbauen", "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "target_url": "https://saferpage.de/anbieter/digitales-deutsches-frauenarchiv.de" } ], "platform_playbooks": [ { "id": "drupal", "platform": "Drupal", "summary": "Drupal-Module, Theme-Libraries, Consent-Module und Aggregation/Caches können Datenschutzsignale verändern.", "steps": [ "Drupal Core und contrib-Module aktualisieren; Security Advisories und Composer-Lockfile prüfen.", "Libraries, Theme Attachments und Blöcke auf externe Skripte, Fonts, Maps, Videos und Pixel prüfen.", "Consent- und Cookie-Module mit Erstaufruf/Ablehnen/Akzeptieren/GPC gegen SaferPage testen.", "Cache-, CDN- und Reverse-Proxy-Regeln nach Änderungen invalidieren und Header erneut prüfen." ], "acceptance": [ "Keine unsupported/stale Technology-Hinweise.", "Drittanbieter sind im Anbieterregister erklärt.", "Re-Scan und Exportpaket sind abgelegt." ], "owner": "Webbetrieb/IT/Datenschutz", "guide_url": "https://saferpage.de/guides/cms-plugin-patchstand-nachweisen", "technology_evidence_url": "https://saferpage.de/technik/digitales-deutsches-frauenarchiv.de/export", "rescan_url": "https://saferpage.de/?url=digitales-deutsches-frauenarchiv.de", "boundary": "Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen." } ], "quality_review_playbook": { "summary": "Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.", "rows": [ { "id": "consent_wall_paywall_review", "label": "Consent-Wall, Paywall oder Overlay einordnen", "review_question": "Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?", "operator_action": "Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen.", "acceptance": "Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert.", "boundary": "Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz.", "evidence_url": "https://saferpage.de/digitales-deutsches-frauenarchiv.de", "guide_url": "https://saferpage.de/methodik", "status": "bei Bedarf prüfen" }, { "id": "google_consent_applicability_review", "label": "Google Consent Mode nur bei Google-Evidenz fordern", "review_question": "Wurden GTM, gtag, Analytics, Ads oder eine Google-Tracking-ID wirklich gesehen?", "operator_action": "Keinen Google-Consent-Mode-Fix verlangen, solange keine GTM-/Analytics-/Ads-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen.", "acceptance": "Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence.", "boundary": "Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan.", "evidence_url": "https://saferpage.de/digitales-deutsches-frauenarchiv.de/top-fixes-json", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "status": "nicht erforderlich" }, { "id": "form_coverage_review", "label": "Formular-Coverage gegen Startseiten-Sample abgleichen", "review_question": "Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?", "operator_action": "Alle 1 Formular(e) auf 1 geprüften Seite(n) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen.", "acceptance": "Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar.", "boundary": "SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Die Zählung basiert auf gespeicherter Crawl- und Formular-Evidence.", "evidence_url": "https://saferpage.de/abdeckung/digitales-deutsches-frauenarchiv.de/export", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "status": "Crawl-Evidence vorhanden" }, { "id": "cookie_context_review", "label": "Cookies nach Zweck statt pauschal bewerten", "review_question": "Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?", "operator_action": "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen.", "acceptance": "Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung.", "boundary": "Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext.", "evidence_url": "https://saferpage.de/cookies/digitales-deutsches-frauenarchiv.de", "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "status": "Baseline dokumentieren" }, { "id": "score_wording_review", "label": "Score und Warntexte als Priorisierung formulieren", "review_question": "Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?", "operator_action": "Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden.", "acceptance": "Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims.", "boundary": "Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit.", "evidence_url": "https://saferpage.de/evidence/report-quality-smoke.json", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" }, { "id": "statement_boundary_review", "label": "Aussage-Ampel und Claim-Grenzen übernehmen", "review_question": "Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?", "operator_action": "Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren.", "acceptance": "Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims.", "boundary": "Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.", "evidence_url": "https://saferpage.de/digitales-deutsches-frauenarchiv.de", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" } ], "metrics": { "row_count": 6, "acceptance_count": 6, "boundary_count": 6, "evidence_url_count": 6, "guide_url_count": 6, "privacy_relevant_domain_count": 0, "pre_consent_cookie_count": 0, "form_count": 1, "form_page_count": 1, "google_evidence_count": 0 } }, "evidence_first_boundary": { "available": true, "summary": "Fix-Guides trennen Scan-Evidence, Betreiberkontext und Nicht-behaupten-Grenzen, bevor Betreiber Tickets umsetzen oder externe Aussagen ableiten.", "measured_evidence": [ { "id": "report_scan_facts", "label": "Gespeicherter Kurzreport", "evidence": "Scan-ID, Zeitpunkt, Score, Befunde, Screenshot, HTTP/TLS/Header und direkte Test-URLs.", "url": "https://saferpage.de/digitales-deutsches-frauenarchiv.de" }, { "id": "crawl_form_coverage", "label": "Formular-Coverage", "evidence": "Crawl-Evidence: 1 Formular(e) auf 1 geprüften Seite(n).", "url": "https://saferpage.de/abdeckung/digitales-deutsches-frauenarchiv.de/export" }, { "id": "browser_contacts", "label": "Browserkontakte und Cookies", "evidence": "59 Request(s), 1 Drittanbieter-Domain(s), 0 Cookie(s) vor Einwilligung.", "url": "https://saferpage.de/cookies/digitales-deutsches-frauenarchiv.de" }, { "id": "google_applicability", "label": "Google-Consent-Anwendbarkeit", "evidence": "Keine GTM-/Analytics-/Ads-/ID-Evidence im gespeicherten Lauf; kein Google-Consent-Mode-Fix ohne neue Evidence.", "url": "https://saferpage.de/digitales-deutsches-frauenarchiv.de/top-fixes-json" } ], "operator_context_not_scanned": [ "Rechtsgrundlagen, Zwecke, Pflichtfelder, Löschfristen und Empfänger je Formular.", "Interne Systeme, CRM-/Support-Flüsse, Login-, Checkout-, Paywall- und nachgelagerte Verarbeitung.", "AVV/DPA, TOMs, Transfer Impact Assessments, Anbieterakten und interne Freigaben.", "Spätere CMP-, Tag-Manager-, Release- oder Content-Änderungen nach dem gespeicherten Scan." ], "do_not_claim": [ "Keine DSGVO-Konformität, Rechtsfreigabe oder Zertifizierung behaupten.", "Keinen Google-Consent-Mode-Fehler behaupten, wenn keine Google-Tag-Evidence vorliegt.", "Keine fehlende Betreibertransparenz als Tatsache behaupten, wenn Consent-Wall, Paywall, Login oder Geoblocking den Scan begrenzen.", "Keine Formularübermittlung, Zahlungsprüfung oder Backend-Validierung behaupten; SaferPage sendet keine Formulare ab." ], "metrics": { "measured_evidence_count": 4, "operator_context_count": 4, "do_not_claim_count": 4, "form_count": 1, "form_page_count": 1, "google_consent_required": 0, "scan_limit_present": 0 }, "claim_boundary": "Diese Betreiberseite ist ein Umsetzungs- und Review-Playbook. Konkrete Findings bleiben an Scan-Evidence gebunden; allgemeine Betreiberaufgaben sind Kontext und müssen fachlich freigegeben werden.", "guide_url": "https://saferpage.de/guides/betreiber-datenschutz-checkliste", "report_quality_url": "https://saferpage.de/evidence/report-quality-smoke.json" }, "phases": [ { "id": "triage", "label": "Triage", "timebox": "0-48 Stunden", "action": "Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern." }, { "id": "fix", "label": "Fix umsetzen", "timebox": "0-14 Tage", "action": "Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren." }, { "id": "content", "label": "Nutzertexte synchronisieren", "timebox": "parallel", "action": "Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen." }, { "id": "rescan", "label": "Re-Scan und Freigabe", "timebox": "nach Deployment", "action": "Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen." } ], "links": { "fix_guides": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de", "json": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/export", "csv": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/export-csv", "markdown": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/playbook-md", "tickets_html": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/tickets", "tickets_json": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/tickets-json", "tickets_csv": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/tickets-csv", "tickets_markdown": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/tickets-md", "tickets_delivery_json": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/tickets-delivery-json", "tickets_delivery_csv": "https://saferpage.de/fix-guides/digitales-deutsches-frauenarchiv.de/tickets-delivery-csv", "findings": "https://saferpage.de/befunde/digitales-deutsches-frauenarchiv.de", "operator_board": "https://saferpage.de/betreiber/digitales-deutsches-frauenarchiv.de", "privacy_hub": "https://saferpage.de/datenschutz-hub/digitales-deutsches-frauenarchiv.de", "scan_operations": "https://saferpage.de/scanbetrieb/digitales-deutsches-frauenarchiv.de", "guides_index": "https://saferpage.de/guides", "report": "https://saferpage.de/digitales-deutsches-frauenarchiv.de" }, "competitor_references": [ { "title": "Cookiebot Scan Report", "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report", "note": "Scanreports verbinden Cookie-/Prior-Consent-Befunde mit Betreiberaktionen." }, { "title": "Usercentrics Handling Trackers", "url": "https://support.usercentrics.com/hc/en-us/articles/18579668393372-Handling-trackers", "note": "Tracker-Ergebnisse werden gemappt, blockiert oder bewusst manuell verwaltet." }, { "title": "Osano Compliance Check", "url": "https://www.osano.com/features/compliance-check", "note": "Compliance Checks priorisieren Lücken und geben Hinweise zur schnellen Behebung." } ], "disclaimer": "Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben." }